1、2009年下半年软件水平考试(中级)网络工程师下午(应用技术)试题真题试卷及答案与解析 一、试题一( 15分) 1 某校园网中的无线网络拓扑结构如图 6一 l所示。该网络中无线网络的部分需求如下: 1学校操场要求部署 AP,该操场区域不能提供外接电源。 2学校图书馆报告厅要求高带宽、多接入点。 3无线网络接入要求有必要的安全性。 1 根据学校无线网络的需求和拓扑图可以判断,连接学校操场无线 AP的是 (1 )交换机,它可以通过交换机的 (2)口为 AP提供直流电。 2 1根据需求在图书馆报告厅安装无线 AP。 如果采用符合 IEEE 802 11b规范的AP,理论 上最高可以提供 (3)Mh
2、s的传输速率;如果采用符合 IEEE 802 11g规范的 AP,理论上最高可以提供 (4)Mb s的传输速率。如果采用符合 (5)规范的AP,由于将 MIM0技术和 (6)调制技术结合在一起,理论上最高可以提供 600Mbps的传输速率。 (5)备选答案 A IEEE 802 11 a B IEEE 802 11e C IEEE 802 11i D IEEE 802 11n (6)备选答案 A BFSK B QAM C. OFDM D MFSK 2图书馆报告厅需要部署 10台无线 AP,在配置过程中发现信号相互干扰严重,这时应调整无线 AP的 (7)设置,用户在该报告厅内应选择 (8),接入
3、不同的无线AP。 (7) (8)备选答案 A频道 B功率 C加密模式 D操作模式 E SSID 3 若在学校内一个专项实验室配置无线 AP,为了保证只允许实验室的 PC机接人该无线 AP,可以在该无线 AP上设置不广播 (9),对客户端的 (10)地址进行过滤,同时为保证安全性,应采用加密措施。无线网络加密主要有三种方式: (11)wPAwPA2、 wPA-PSIL wPA2-PSK。在这三种模式中,安全性最好的是 (12),其加密过程采用了 TKIP和 (13)算法。 (13)备选答案 A AES B Ades C IDEA D RSA 二、试题二( 15分) 4 阅读下列说明,回答问题 1
4、至问题 5,将解答填入答题纸对应的解答栏内。【说明】网络拓扑结构如图所示。4 网络 A的 WWw服务器上建立了一个 Web站点,对应的域名是 www.abc.edu。DNS服务器 1上安装 Windows Server 2003操作系统并启用 DNS服务。为 了解析www服务器的域名,在所示的对话框中,新建一个区域的名称是 (1);在图 64所示的对话框中,添加的对应的主机 “名称 ”为 (2)。5 在 DNS系统中反向查询 (Reverse Query)的功能是 (3)。为了实现网络 A中 WWw服务器的反向查询,在图 6-5和 6-6中进行配置,其中网络 ID应填写为 (4),主机名应填写
5、为 (5)。6 DNS服务器负责本网络区域的域名解析,对于非本网络的域名,可以通过设置“转发器 ”,将自己无法解析的名称转到网络 c中的 DNS服务器 2进行解析。设置步骤:首先在 “DNS管理器 ”中选中 DNS服务器,单击鼠标右键,选择 “属性 ”对话框中的 “转发器 ” 选项卡,在弹出的如图 6-7所示的对话框中应如何配置 ? 7 网络 c的 Windows Server2003服务器上配置了 DNS服务,在该服务器上两次使用 nslookuPwww.sohu com命令得到的结果如图 68所示,由结果可知,该 DNS服务器 (6)。 (6)的备选答案:A启用了循环功能 B停用循环功能
6、C停用了递归功能 D启用了递归功能 8 在网络 B中,除 PC5计算机以外,其他的计算机都能访问网络 A的 www服务器,而 PC5计 算机与网络 B内部的其它 Pc机器都是连通的。分别在 PC5和 PC6上执行命令 ipcon-fig,结果信息如图 69和图 610所示:请问 PC5的故障原因是什么 ?如何解决 ? 三、试题三( 15分) 9 阅读以下说明,回答问题 1至问题 3,将解答填入答题纸对应的解答栏内。 【说明】 在大型网络中,通常采用 DHCP完成基本网络配置会更有效率。 9 在 Linux系统中, DHcP服务默认的配置文件为: (1)。 (1)备选答案: A etc dhcp
7、d.conf B. etc dhcpd.config C etcdhcpc.conf D. etc dhcp config 10 管理员可以在命令行通过 (2)命令启动 DHCP服务;通过 (3)命令停止 DHCP服务。 (2)、 (3):备选答案: A, service dhcpd start B service dhcpd up C service dhcpd stop D service dhcpd down 11 在 Linux系统中配置 DHCP服务器,该服务器配置文件的部分内容如下: option touters 192.168.1.254; option broadcastadd
8、ress 192 168 1, 255; option domainnameservers 192 168 1 3 ; range 192 168 1 100 192 168 1 200 ; defaultleasetime 21600 ; maxleasetime 43200; hoSt webserver hardware ethernet 52: 54: AB: 34: 5B: 09; fixedaddresS 192 168 1 100; 在主机 webserver上运行 ifconfig命令时显示如下,根据DHCP配置,填写空格中缺少的内容。该网段的网关 IP地址为(7),域名服务器
9、 IP地址为 (8)。 四、试题四( 15分) 12 阅读以下说明,回答问题 1至问题 4,将解答填人答题纸对应的解答栏内。【说明】某公司通过 PIX防火墙接入 Internet,网络拓扑如图所示。在防火墙上利用show命令查询当前配置信息如下: PIX#show confignameif eth0 outside security0nameif ethl inside securityl00nameif eth2 dmz security40 fixup protocol ftp 21(1)fixup protocol http 80ip address outside 61 144 51
10、42 255 255 255 248ip address inside 192 1 68 0 1 255 255 255 0ip address dmz 10 10 0 1 255 255 255 0global(outside)1 61 144 51 46nat(inside)1 0 0 0 0 0 0 0 0 0 0route outside 0.0.0.0.0.0.0.0 61.144.51.45 1(2) 12 解释 (1)、 (2)处画线语句的含义。 13 根据配置信息,填写表 61。14 根据所显示的配置信息,南 inside域发往 Internet的 IP分组,在到达路由器 R1
11、时的源 IP地址是 (7)。 15 如果需要在 dmz域的服务器 (IP地址为 l0 10 0 100)对 Internet用户提供Web服务 (对外公开 IP地址为 61 144 51 43),请补充完成下列配置命令。PIX(config)#static(dmz, outside)(8)(9)PIX(config)#conduit permit tcp host(10)eq WWW any 五、试题五( 15分) 16 阅读以下说明,回答问题 1至问题 3,将解答填入答题纸对应的解答栏内。【说明】某单位网络拓扑结构如图所示,要求配置 IPsec VPN使 10 10 20 1 24网段能够连
12、通 10 10 10 2 24网段,但 10 10 30 1 24网段不能连通10 10 10 2 24网段。16 根据网络拓扑和要求,解释并完成路由 器 Rl上的部分配置。 Rl(config)#crypto isakmp enable(启用 IKE) R1(config)#crypto isakmp(1)20(配置 IKE策略 20) R1(config-isakmp)#authentication pre-share(2) Rl(configisakmp)#exit R1(eonfig)#crypto isakmp key 378 address 192 168 2 2(配置预共享密钥为
13、 378) R1(config)#access-list 101 permit ip(3)0 0 0 255(4)0 0 0 255 (设置 ACL) 17 根据网络拓扑和要求,完成路由器 R2上的静态路由配置。 R2(eonfig)#ip route(5)255 255 255 0 192 168 1 1 R2(eonfig)#ip mute 10 10 30 0 255 255 255 0(6) R2(config)#ip route 10 10 10 0 255 255 255 0 192 168 2 2 18 根据网络拓扑和 R1的配置,解释并完成路由器 R3的部分 配置。 R3(co
14、nfig)#ctypto isakmp key(7)address(8) R3(config)#crypto transform-set testvpn ahrod5hmac esp-des esp-rod5-hmac(9) R3(cfgcryptottans)#exit R3(config)#crypto map test 20 ipsec-isakmp R3(configcryptomap)#set peer 192 168 1 1 R3(configcryptomap)#set transform-seI(10) 2009年下半年软件水平考试(中级)网络工程师下午(应用技术)试题真题试卷
15、答案与解析 一、试题一( 15分) 1 【正确答案】 (1)接入层 (2)POE或以太端口 【试题解析】 通常将网络中直接面向用户连接或访问网络的部分称为接入层,将位于接入层和核心层之间的部分称为分布层或汇聚层,接入层目的是允许终端用户连接到网络,因此接人层交换机具有低成本和高端口密度特性;汇聚层交换机是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通 信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。而将网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供优化、可靠的骨干传输结构,因此核心层交换机应拥有
16、更高的可靠性、性能和吞吐量。 PoE是一个可以在以太网路中透过双绞线来传输电力到装置上的技术。透过这项技术,我们可以供电给网络电话、无线基地台、网络摄影机、集线器、电脑等不方便另外架设电源线的装置。这项技术常常被跟同样也是在同一条电缆上接收电源与资料 (虽然是类比资料 )的传统电话网络 (POTS)来进行对照。 PoE不需要更改以太网路的缆线架构即可运作。 2 【正确答案】 (3)11 (4)54 (5)D (6)C (7)A (8)E 【试题解析】 IEEE 802 1lb无线局域网的带宽最高可达 11Mbps,比两年前刚批准的 IEEE802 11标准快 5倍,扩大了无线局域网的应用领域。
17、 IEEE 802 11g在 2003年 7月被通过。其载波的频率为 2 4GHz(跟 802 11b相同 ),原始传送速度为 54Mbit s,净传输速度约为 24 7Mbit s(跟 802 11a相同 )。802 11g的设备向下与 802 11b兼容。多进制数字频率调制 (MFSK)简称多频制,是 2FSK方式的推广。 OFDMOFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术,实际上 OFDM是 MCM MuhiCarrierModulation多载波调制的一种。其主要思想是:将信道分成若干正交子信道,将高速数据信号转换
18、成并行的低速子数据流,调制到在每个子信道上进行传输。正交信号可以通过在接收端采用相关技术来分开,这样可以减少子信道之间的相互干扰 IcI。每 个子信道上的信号带宽小于信道的相关带宽,因此每个子信道上的可以看成平坦性衰落,从而可以消除符号间干扰。而且由于每个子信道的带宽仅仅是原信道带宽的一小部分,信道均衡变得相对容易。 SSID是 Service Set Identifier的缩写,意思是服务集标识。 SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。 3 【正确答案】
19、(9)SSlD或服务集标识符 (10)MAC或以太网网卡物理地址 (11)wEP (12)WPA-PSK WPA2-PSK (13)A 【试题解析】 SSID,无线 IAN中经常用到的一个特性是称为 SSID的命名编号,它提供低级别上的访问控制。 SSID通常是无线 LAN子系统中设备的网络名称;它用于在本地分割子系统。 WEP, IEEE 802 11b标准规定了一种称为有线等效保密 (或称为 WEP)的可选加密方案,提供了确保无线 LAN数据流的机制。wEP利用一个对称的方案,在数据的加密和解密过程中使用相同的密钥和算法。wi-Fi保护接入 (WPA)是改进 wEP所使用密钥的安全性的协议
20、和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。 wPA的功能是替代现行的 wEP(Wired Equivalent lPrivacy)协议。过去的无线 LAN之所以不太安全,是因为在标准加密技术 “WEP”中存在一些缺点。 WPA是继承了 WEP基本原理而又解决了 wEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。 WPA还追加了防止数据中途被篡改的功能和 认证功能。在802 11i颁布之后, wi-Fi联盟推出了 WPA2,它支持 AES(高级加密算法 ),因此它需要
21、新的硬件支持,它使用 CCMP(计数器模式密码块链消息完整码协议 )。在WPA WPA2中, PTK的生成依赖 PMK,而 PMK的获得有两种方式,一个是PSK的形式就是预共享密钥,在这种方式中 PMK=PSK,而另一种方式中,需要认证服务器和站点进行协商来产生 PMK。 二、试题二( 15分) 4 【正确答案】 (1)abc.edu (2)WWW 【试题解析】 DNS服务配置问题,平时多加操作即可。 5 【正确答案】 (3)用 IP地址查询对应的域名,或者根据 lP地址查询相应的域名 (4)210 43 16 (5)wWW Abc.edu 【试题解析】 所谓 DNS服务器反向查询,就是输入
22、IP地址,可以查出域名。某些 DNS服务器支持的反向查询 (iquery)功能可使攻击者获得区域传输。识别出注册到您的 DNS服务器的每台计算机,并且可能被攻击者用来更方便地了解您的网络。甚至当您在 DNS服务器上禁用了区域传输时, iquery功能仍旧可以允许区域传输发生。由网络 A中的 IP地址 210 43 16 4得到网 络 ID。而主机名就是WWW Abc.edu。 6 【正确答案】 选巾 “启用转发器 ”复选框,在 “IP地址 ”文本框中输入51 202 22 18,单击 “添加 ”按钮,再单击 “确认 ”或 “应用 ”按钮。 【试题解析】 DNS服务配置问题,平时多加操作即可。
23、7 【正确答案】 A 【试题解析】 循环复用是 DNS服务器用于共享和分配网络资源负载的本地平衡机制。如果发现主机名的多个 ARR,则可用它循环使用包含在查询应答中的主机(A)资源记录 (RR)。在默认情况下, DNS服务器的服务使用循环复用对资源记录进行排序,这些资源记录是在解析为多个映射 RR的主机名应答中返回的。该功能提供了一种非常简便的方法,用于对客户机使用 web服务器和其他频繁查询的多宿主计算机的负载平衡。要使循环复用正常工作,必须首先在该区域中注册所查询名称的多个 ARR。如果 DNS服务器禁用循环复用,那么这些查询的响应顺序以应答列表中 RR在区域 (或者是它的区域文件,或者是
24、 Active Directory)中存储时的静态排序为基础。 8 【正确答案】 故障原因:计算机。 PC5的默认网关地址参数设置有误解决办法:将计算机 PC5的默认网关修改为 192 168 0 3 【试题解析】 比较两图,不同的地方在于 IP地址和默认网关,可以看出两者的IP地址是出于同一子网中,所以没有问题,所以问题是出在默认网关上,即 PC5的默认网关地址参数设置有误,参照 Pc6的默认网关修改即可。 三、试题三( 15分) 9 【正确答案】 A 【试题解析】 DHCP(Dynamic Host Configuration Protocol)动态主机配置协议为在同一网络的主机自动分配动
25、态 IP。在 Linux中 etc dhepD conf即 DHCP服务默认的配置文件。 10 【正确答案】 (2)A(3)C 【试题解析】 建立 dhcpd.conf配置文件 #cp cat usr share doc dhcp-3 0pl 1 dhcpd.conf sample etc dhcpd.conf dhcp服务的启动 #service dhcpd start 服务的停止 #service dhcpd slop 服务器重新启动 #senrice dhcpd restart 11 【正确答案】 (4)52: 54: AB: 34: 5B: 09 (5)192 168 1 100 (6
26、)255 255 255 0 (7)192 168 1 254 (8)192 168 1 3 【试题解析】 由 hardware ethernet 52: 54: AB: 34: 5B: 09得出 (4)题答案; 由 fixed-address 192 168 1 100得出 (5)题答案; 由 option subnet-mask 255 255 255 0得出 (6)题答案; 由 option touters 192 168 1 254得出 (7)题答案; 由 optien domain-name-servels 192 168 1 3得出 (8)题答案。 四、试题四( 15分) 12 【
27、正确答案】 (1)添加可监听的 FTP服务端口 21 (2)定义外部默认路由 61 144 51 45,跳数为 1 【试题解析】 fixup相当于对某种 fixup后面的协议进行检查,会根据该协议的要求检查传输的数据是否符合标准。比如 fixup smtp之后,所有目的地是 tcp 25端口的数据都会被当作 smtp命令来进行检查,如果传输的数据不是合法的 smtp命令,那么 pix会把可能有害的非法的指令修改成对服务器无害的命令送出。防火墙route inside route outside是指路由的去向。 route outside就是去外网的路由,反之,就是去内网的路由。 13 【正确答
28、案】 (3)192 168 0 1 (4)255 255 255 248 (5)eth2 (6)10 10 10 1 【试题解析】 由此六句配置信息可得答案: natneif ethO outside securityO nameif ethl inside securityl00 nameif eth2 dmz security40 ip address outside 61 144 51 42 255 255 255 248 ip address inside 192 168 0 1 255 255 255 0 ip address dmz 10 10 0 1 255 255 255 0.
29、 14 【正确答案】 (7)61 144 51 46 【试题解析】 由 global(outside)1 61 144 51 46此句可得答案。 15 【正确答案】 (8)61 144 51 43 (9)l0 10 0 100 (10)61 144 51 43 【试题解析】 static命令配置语法: static(internal_if_name,external_if_name)outside_ip_address inside_ip_address,其中 internal_if_name表示内部网络接口,安全级别较高,如 in-side。 external_if_name为外部网络接口,
30、安全级别较低,如 outside等。 outside_ip_address为正在访问的较低安全级别的接口上的 ip地址, inside_ip_address为内部网络的本 地 ip地址。 conduit permit I deny global_ip portprotocol foreign_ippermit I deny允许 I拒绝访问 global_ip指的是先前由 global或 static命令定义的全局 IP地址,如果global_ip为 0,就用 any代替 0;如果 global_ip是一台主机,就用 host命令参数。 port指的是服务所作用的端口,例如 WWW使用 80,
31、smtp使用 25等,我们可以通过服务名称或端口数字来指定端口。 protocol指的是连接协议,比如TCP、 uDP、 ICMP等。 foreign_jp表示可访问 global_ip的外部 IP。对于任意主机,可以用 any表示。如。 foreign_ip是一台主机,就用 host命令参数。 五、试题五( 15分) 16 【正确答案】 (1)policy (2)采用预共享密钥认证方法 (3)10 10 20 0 (4)10 10 10 0 【试题解析】 一旦 ISAKMP被激活,我们需要为每一个策略实体定义五个策略参数。如果没有定义策略,一个使用所有默认值的策略将会被使用。当创建一个策略时
32、,如果没有显式定义策 略参数,默认的参数将会被使用。策略的参数及其默认值如下: 1 IKE策略加密,默认值为数据加密标准 (Data Encryption Standard, DES); 2 IKE策略哈希,默认值为 Secure Hash Standard-1(sHA-1); 3 IKE密钥交换,默认值为 Diffie-Hellman Group 1(768-Bit); 4 IKE寿命,默认值为一天 (86, 400秒 ); 5 IKE认证方式,默认值为 RSA公钥。 你可能已经知道节点是需要与一个通用 ISAKMP策略协商,以建立一个 IPsee节点联系。所以根据你想要连接的设备,你可能需
33、要多个 ISAKMP策略。每一个ISAKMP策略被赋予一个唯一的 1 10 000之间的优先级数。优先级数为 1的策略被认为是最高优先级的策略。策略协商从策略数最接近于 1的开始。通常的做法是从策略数为 10的开始创建,这样做的话当你需要往生产环境的路由器中插入一个优先级更高的策略时,你才有位置可以用。下面是预共享密钥的配置方法的标准的配置: router(config-isakmp)#authentical: ion pre-share。 ACL访问表。由Ciseo路由器保存 用来为许多服务控制出入此路由器的表 (例如,为防止具有某一 IP地址的数据包停留在路由器某一特殊的接口上 )。访问表
34、是管理者加入的一系列控制数据包在路由器中输入、输出的规则。它不是由路由器自己产生的。访问表能够允许或禁止数据包进入或输出到目的地。 access-list acl-name permit I denyprotocol sre_addr src_maskoperator poItportdest_addr desl_maskoperator protport 17 【正确答 案】 (5)10 10 20 0 (6)192 168 1 1 【试题解析】 由拓扑图可以看出 R2通过 R1的 EO: 192 168 1 1连接10 10 20.0和 10 10 30 0网络,通过 R3的 E0: 19
35、2 168 2 2连接10 10 10 0网络。 18 【正确答案】 (7)378 (8)192 168 1 1 (9)设置 IPSec变换集 testvpn, AH鉴别采用 ah-rod5-hmae, ESP加密采用 espdes, ESP认证采用 esp-md5-hmac。 (10)testvpn 【试题解析】 由 R1(config)#crypto isakmp key 378 address 192 168 2 2得(7)(8)题答案。用 crypto ipsee transform-set命令配置变换集;例如: crypt。 ipsec transform-set transform-set-Dame transformltransform2transform3。 set peer (指定此 VPN链路,对端的 IP地址 )。 routerA(config-crypto-map)#set transform-set test(IPSec传输模式的名字 )